Windows Security Events

16 Temmuz 2016

Windows sistemlerde güvenlik açısından en azından Audit logların alınması gerekir. Bu loglara Windows’un kendi görüntüleyicisi Event Viewer ile baktığınızda Security altında görebilirsiniz. Gelin ve burada yer alan Event ID olarak tekilleştirilmiş bir id ‘ye sahip olay kayıtlarını inceleyelim.

Not : Windows Server 2012 baz alınmıştır.

1102 – The audit log was cleared.

Bu log çok önemli bir logdur. Sisteminizde audit log silindiğinde ilk oluşan logdur. Önemli kılan şey ise genellikle audit log istisnai durumlar dışında silinmez. Böyle bir aktivite bu durumda şüphelidir. Biri sisteminize sızmış, daha sonrasında iz bırakmamak adına logları temizlemiş olabilir. Özellikle bu olay kaydı için SIEM’de alarm üretilmelidir.

4624 – An account was successfully logged on.

Windows’a giriş yaptığınız an bu log oluşur. Ancak bu sisteme log on oldu işlemine devam ediyor anlamına gelmez. Örneğin remote desktop yaptığınızda kullanıcı adı parolanızı doğru girdiniz, ancak rdp yetkiniz yok. Bu durumda bu logu görmüş olabilirsiniz. Ancak yetkiniz olmaması sebebiyle hemen arkasından da muhtemelen 4634 event’i de oluşacaktır.

Buradaki bir diğer önemli nokta ise logon type’dır. Böylece kullanıcının ne tür bir giriş yaptığınız anlayabiliriz. SIEM tarafında özellikle bunların faydasını olduğunu düşünüyorum.

  • Logon Type 2 (Interactive): Normal bilgisayarınızın başına oturdunuz ve giriş yaparsanız bu tipi görürsünüz.Veya Windows ‘dayken kendi kullanıcınız dışında farklı bir kullanıcıyla çalıştırmak istediniz. Bu durumda da logon type 2 oluşur.
  • Logon Type 3 (Network) : Logon girişi network üzerinden gerçekleşmiş olarak görülür. Örneğin bir dosya paylaşımına erişmek istediniz, önce logon on olunacağından bu event gözükecektir. Veya rdp yaparsanız logon type 10 ‘dan önce bu tipi görürsünüz.
  • Logon Type 4 (Batch) : Task Scheduler Servise ile bir görev için oturum açtığında bu giriş tipini görürsünüz.
  • Logon Type 5 (Service) : Servisler de belirli bir kullanıcı ile çalıştığı için eğer servis girişlerini incelemek isterseniz buradan anlayabilirsiniz.
  • Logon Type 7 (Unlock) : Bilgisayarınıza parola korumalı bir ekran koruyucu koydunuz ve daha sonra gelen ekrandan giriş yaptınız. Bu durumda giriş tipi bu şekilde gözükür.
  • Logon Type 8 (NetworkCleartext) : Bir şekilde parolanız açık bir şekilde bir yerlere logon olmuşsunuz demektir. Araya giren biri rahatlıkla parolanızı görüntüleyebilir demektir.
  • Logon Type 9 (NewCredentials) : Bir programı normalde farklı bir kullanıcı ile ister grafiksel ister komut satırından çalıştırdığınızda logon type 2 olarak görülür. Ancak eğer /netonly parametresi ile Runas kullanırsanız bu durumda bu tipte bir logon görmüş olursunuz.
    • /netonly diyerek Runas yaptığınızda program kendi kullanıcınızla çalışır ancak network bazında kimlik doğrulama yapar.  Bu parametreyi girmezseniz bilgisayarınızın bu kullanıcıyı bilmesi gerekir. Evet, biraz karışık bir durum; ancak böyle bir şey şunun için gerekli olabilir. Örneğin domain’de bir hesabınız var ve bilgisayarınız da domain’de değil. Bu durumda domainde olmayan bilgisayarınızdan domain’deki kullanıcınızla programı çalıştırabilirsiniz.
  • Logon Type 10 (RemoteInteractive) : Remote Desktop girişlerini gösterir.
  • Logon Type 11 (CachedInteractive) : Diyelim ki bir domain kullanıcısınız ve domain’e katılmış bir iş bilgisayarınız var. Bu iş bilgisayarınızla DC’nin olmadığı bir yere gittiniz. Bu durumda bilgisayarınıza giremiyecek misiniz ? Hayır. Tabiki girebiliceksiniz. Günlük hayatımızda sıklıkla rastlaştığımız bu durumu Microsoft kullanıcı girişlerini belirli bir süre cache’leyerek gerçekliyor. Böyle bir durumdaki giriş tipi de bu şekilde loglanıyor.

4625 – An account failed to log on.

Başarız bir hesap girişi olduğunda bu log düşer. Eğer lock politikanız varsa, belirlediğiniz eşik değerinden sonra hesap kilitlenir.

4634 – An account was logged off.

Giriş kullanıcı yapmış bir şekilde hesaptan çıktığında bu log oluşur.

4719 – System audit policy was changed.

Herhangi bir audit policy ile ilgi bir ayar değişikliği yaptığınızda oluşan logdur.

4720 – A user account was created.

Yeni bir kullanıcı oluşturulduğunda ilk oluşturulan logdur. Bu logun hemen sonrasında 4722, 4738, 4732 nolu event’leri görebilirsiniz.

4722 – A user account was enabled.

Yeni oluşturulan bir kullanıcının aktifleştiğini ya da pasif durumdaki kullanıcının hesabının aktifleştirildiğini bildirir.

4723 – A computer account was deleted.

Bilgisayar kullanıcısı kaldırıldığında bu log oluşur.

4725 – A user account was disabled.

Kullanıcı hesabını pasif duruma getirdiğinizde bu log oluşur.

4726 – A user account was deleted.

Kullanıcı hesabı silinirse bu log oluşur. Bu logdan hemen önce 4729, 4733 eventleri görülür; yani kullanıcı hesabı local ve global gruplardan da kaldırılır.

4727 – A security-enabled global group was created.

Global bir grup oluşturulduğunda bu event oluşur.

4729 – A member was removed from a security-enabled global group.

Kullanıcı hesabı bir global gruptan kaldırıldığında bu event oluşur.

4730 – A security-enabled global group was deleted.

Global bir grup kaldırıldığında bu log oluşur.

4731 – A security-enabled local group was created. 

Windows’unuzda bir grup oluşturduğunuzda ilk oluşan logdur. Bu logdan hemen sonra 4735 ‘i görürsünüz.

4732 – A member was added to a security-enabled local group.

Bir kullanıcıyı bir gruba eklediğinizde oluşan logdur.

4733 – A member was removed from a security-enabled local group.

Daha önceden gruba eklediğiniz bir kullanıcıyı gruptan kaldırdığınızda oluşan logdur.

4734 – A security-enabled local group was deleted.

Ekli gruplardan birini sildiğinizde oluşan logdur.

4735 – A security-enabled local group was changed.

Herhangi bir lokal grup değişikliği sırasında oluşan logdur.

4738 – A user account was changed.

Kullanıcı hesabında yapılan bir değişikliği bildirir.

4739 – Domain Policy was changed.

Parola politikası değişikliği, Account policy değişikliği gibi genel politika değişikleri domain policy olarak loglanır.

4740 – A user account was locked out.

Çok fazla hatalı giriş yaptığınızda belirtilen sürelerde hesaplarınız kilitlenir, belirli bir süre sonra da açılır. Özellikle domain yapısına sahip şirketlerde son kullanıcı destek ekipleri için hangi kullanıcının hangi bilgisayarda kilitlendiği bilgisi önemlidir.

4741 – A computer account was created.

Kullanıcılar gibi bilgisayarlarda domain adminler tarafından domaine katıldığında bu log oluşur. Oluşan bilgisayar hesapları $ ile sonlanır.

4742 – A computer account was changed.

Bilgisayar hesaplarında gerçekleştirilen bir değişiklikle oluşur.

4755 – A security-enabled universal group was changed.

Evrensel grup değiştirildiğinde bu log oluşur. Ayrıca herhangi log tipi de bu grup olarak değişirse yine de gösterilir.

4764 – A group’s type was changed.

Bir grubun tipi değiştiğinde oluşan logdur. Değişim detayında bu bilgi belirtilmiştir.

4775 – A security-disabled local group was changed.

Local grupta bir değişiklik olduğunda ilk olarak oluşan logtur. Örneğin tipi değişirse bu event için 4764’den önce bu log oluşur.

4781 – The name of an account was changed.

Bir kullanıcı hesabının adı değiştirildiğinde bu log oluşur. Daha sonrasında ise 4738 logunu görebilirsiniz.

Benzer Gönderiler:

  1. Windows logon tipleri
  2. Local Security Authority (LSA)
  3. Security Identifiers (SID)
  4. Windows Logları Filtreleme
Gökhan Kesici
Adanalı. Evli ve bir çocuk sahibi. İstanbul Üniversitesi Bilgisayar Mühendisliği lisans ve İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği yüksek lisans mezunu.

Kategoriler